为关联规则定义条件

条件部分用于定义如何将汇总资产与分散资产进行匹配。条件会使用定义的运算符,将分散资产中的字段值与您指定的值进行比较。

您可以应用一个或多个条件,并使用“与/或”逻辑来控制其评估方式。

使用连接运算符

当您定义多个条件时,会出现一个连接运算符:

  • 仅当所有条件都为真时,规则才会匹配。

  • 任一条件为真时,规则即匹配。

连接运算符仅在添加两个或更多条件时才可用。

添加条件

  1. 条件部分,

    • 选择一个字段名称(例如,MAC Address、IPv4、Hostname)。

    • 根据您想要的值比较方式,选择一个运算符。

    • 输入要进行比较的文本或值。

  2. 选择添加条件

    要添加更多条件,请选择添加条件。当您拥有多个条件时,会看到一个连接运算符下拉菜单(与、或)。

提示

运算符选项取决于所选字段。例如,IP 字段支持 CIDR 和范围运算符,而字符串字段支持“包含”或“开头字符”。有关运算符说明,请参阅支持的运算符表。

支持的运算符

运算符决定了您的输入值如何与资产字段值进行比较。可用运算符因所选字段而异。

运算符描述
IPv4

  • 范围匹配指定起始和结束范围内的 IPv4 地址。

  • 开头为匹配以指定前缀开头的地址。

  • CIDR匹配 CIDR 地址块内的地址。

IPv6

  • 范围匹配指定起始和结束范围之间的 IPv6 地址。

  • 开头为匹配以指定前缀开头的 IPv6 地址。

  • CIDR匹配 CIDR 地址块内的 IPv6 地址。

外部 ID

  • 等于当外部 ID 与指定值完全相同时匹配。

  • 包含当外部 ID 包含指定字符串时匹配。

  • 不包含当外部 ID 不包含指定字符串时匹配。

  • 开头为当外部 ID 以指定字符串开头时匹配。

编辑条件

您可以更新现有关联规则中任何条件的字段、运算符或值。因此,您无需创建新规则即可调整匹配逻辑。

要编辑条件:

  1. 关联规则页面打开关联规则。

  2. 条件部分,找到要更改的条件。

  3. 编辑以下一项或多项:

    • 域名称

    • 运算符

    • 输入值

  4. 选择:

    • 保存更改以更新现有规则。

    • 另存为新规则以创建一个包含您所做更改的副本。

删除条件

如果不再需要某个条件,可以将其从关联规则中移除。

要删除条件:

  1. 条件部分,找到要移除的条件。

  2. 选择条件行右侧的移除图标 (➖)。

    移除图标在添加条件后才会出现。

备注:

  • 当规则中仅存在一个条件时,移除图标将被禁用。一个关联规则必须至少包含一个条件。

  • 当存在多个条件时,每个条件都包含移除图标,支持逐个删除。